Startseite verstellt sich immer auf http://cadabra.biz/ |
||
---|---|---|
#0
| ||
27.04.2004, 14:49
...neu hier
Beiträge: 5 |
||
|
||
28.04.2004, 10:56
Ehrenmitglied
Beiträge: 29434 |
#2
Zuerst laedst du folgende Programme.
Lade den CWShredder (von dieser Site laden ) http://board.protecus.de/t9373.htm Lade Search&Destroy ...updaten. http://www.snapfiles.com/get/spybot.html Lade AdAware....updaten. http://download.com.com/3000-8022-10214379.html?tag=lst-3-8 Lade Antiviren-Tool: http://www.soft411.com/company/MicroWorld-Technologies-Inc/MicroWorld-Anti-Virus-Toolkit.htm Dann fixt du mit dem HijackThis folgendes und machst den Comp aus. R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.blazefind.com/search_page.php R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {00000000-0000-0000-0000-000000000001} - C:\WINDOWS\System32\msxmlfilt.dll O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll O4 - HKLM\..\Run: [win32.exe] C:\WINDOWS\win32.exe Dann deaktivierst du die Wiederherstellung von XP ...wenn dann alles sauber ist, kannst du sie wieder aktivieren. Dann scannst du im abgesicherten Modus (beim Hochfahren F8 druecken ) mit den geladenen Tools den Comp. --------------------------------------------------------------------------------------------------------------------------------------------------------------------- C:\WINDOWS\win32.exe.....Trojaner ! Klicke in der Taskleiste auf Start|Ausführen. Suche im Windows-Ordner nach Win.ini und öffne die Datei in Notepad. Suche alle Verweise auf Win32.exe. Lösche die Verweise. Suche dann nach der System.ini im Windows-Ordner und öffne die Datei in Notepad. Suche nach allen Verweisen auf Win32.exe. Lösche die Verweise. Du musst im Exporer unter EXtras/Ordneroptionen/Ansicht/Versteckte Dateien und Ordner "Alle Dateien und Ordner anzeigen" Mit der Suchfunktion die win32.exe finden und loeschen -------------------------------------------------------------------------------------------------------------------------------------------------------------- dann machst du den Comp wieder aus und gehst ins normale Windows dann ClearProg laden,,,den Browser saeubern und unter Internet-Optionen die Startseite neu einstellen. http://www.clearprog.de/ Dann laedst den Antivirus:um den Trojaner auch in der Registry zu loeschen Du musst den Virenscanner jeden Tag aktualisieren http://www.free-av.com/ lade den Firefox als Zweitbrowser ...ist viel sicherer...die Updates vom InternetBrowser IE musst du dennoch immer machen http://www.firebird-browser.de/ Wenn noch keine Firewall vorhanden...lade diese .(free) http://smb.sygate.com/products/spf_standard.htm Aktualisiere deine IE http://www.microsoft.com/windows/ie_intl/de/ie6sp1.asp Dann poste das Log noch mal. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 28.04.2004 um 11:39 Uhr von Sabina editiert.
|
|
|
||
28.04.2004, 12:03
...neu hier
Themenstarter Beiträge: 5 |
#3
danke es hat geklappt,
einige dateien liessen sich leider nicht desinfizieren da in gebrauch winlogon.exe service.exe lsass.exe ich hatte mir zusätzlich zu den trojanern auch noch w32/parite b eingefangen. hab dann die platte in einen w98 rechner eingebaut und mit avp den rest klarmachen können der trojaner der die startseite verstellt hat war trojan.win32.StartPage.gh danke für die hilfe und hier das neue log ----- Logfile of HijackThis v1.97.7 Scan saved at 12:52:28, on 28.04.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\AVPINST\Avpm.exe C:\Programme\AVPINST\_Avpm.exe C:\WINDOWS\system32\ntvdm.exe C:\Dokumente und Einstellungen\el\Desktop\HijackThis.exe O1 - Hosts: 213.159.117.235 auto.search.msn.com O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [AvpMonitor] C:\PROGRA~1\AVPINST\AVPM.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://host.cycore.net/plugins/windows/ie/Cult3D_IE_5.3.0.228.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38104.225625 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab Dieser Beitrag wurde am 28.04.2004 um 12:53 Uhr von net_rogue editiert.
|
|
|
||
28.04.2004, 13:00
Ehrenmitglied
Beiträge: 29434 |
#4
Wunderbar.
Nun vergiss nicht , den Firefox als Zweitbrowser ...ist viel sicherer...die Updates vom InternetBrowser IE musst du dennoch immer machen http://www.firebird-browser.de/ und immer den Antivirus und den AdAware zu aktualisieren plus ab und an den Comp. zu scannen. Gruss Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 28.04.2004 um 13:03 Uhr von Sabina editiert.
|
|
|
||
28.04.2004, 21:51
Moderator
Beiträge: 7805 |
#5
Zwei Sachen solltest du noch beachten. Dieser Eintrag muss noc raus:
O1 - Hosts: 213.159.117.235 auto.search.msn.com und nicht nur dein IE ist nicht auf dem neusten Stand, auch dein XP ist es nicht. Besuche mal www.windowsupdate.com und installiere die dir dort angebotenen Patches. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
12.05.2004, 13:19
...neu hier
Beiträge: 1 |
#6
Hallo!
Ich hab ein sehr ähnliches Problem! cwshredder hats auch nit lösen können.... und es sieht auch irgendwie anders aus als das oben geschilderte Problem! Wäre riesid wenn mir da jemand helfen könnte! Logfile of HijackThis v1.97.7 Scan saved at 12:57:54, on 12.05.04 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v5.00 (5.00.2919.6304) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE C:\PROGRAMME\NORTON ANTIVIRUS\POPROXY.EXE C:\WINDOWS\ANVSHELL.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE C:\WINDOWS\SYSTEM\GRAPHDLL.EXE C:\PROGRAMME\IOMEGA\TOOLS\IMGICON.EXE C:\WINDOWS\GUARD.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\EIGENE DATEIEN\HIJACKTHIS.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.hotmail.com/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.msn.de/ O2 - BHO: (no name) - {00000000-0000-0000-0000-000000000001} - C:\WINDOWS\SYSTEM\MSXMLFILT.DLL O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\PROGRAMME\ISTBAR\ISTBAR.DLL (file missing) O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\PROGRAMME\MYWAY\MYBAR\2.BIN\MYBAR.DLL (file missing) O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\Run: [LoadQM] loadqm.exe O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe O4 - HKLM\..\Run: [Norton eMail Protect] C:\PROGRAMME\NORTON ANTIVIRUS\POProxy.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [asustweakenable] C:\PROGRAMME\ASUS\TWEAKING UTILITIES\ATWEAK.EXE /start O4 - HKLM\..\Run: [anvshell] anvshell.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET O4 - HKLM\..\Run: [graphdll] C:\WINDOWS\SYSTEM\graphdll.exe O4 - HKLM\..\Run: [mmsys] C:\WINDOWS\SYSTEM\MMGR.EXE O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRAMME\MSN MESSENGER\MSNMSGR.EXE" /background O4 - Startup: Iomega-Startoptionen.lnk = C:\Programme\Iomega\Tools\IMGSTART.EXE O4 - Startup: QuikSync.lnk = C:\Programme\Iomega\QuikSync\QUIKSYNC.EXE O4 - Startup: IomegaWare.lnk = C:\Programme\Iomega\Iomegaware\COMMANDER.EXE O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Startup: Iomega Disk Icons.lnk = C:\Programme\Iomega\Tools\IMGICON.EXE O4 - Startup: Iomega Backup-Terminplaner.lnk = C:\Programme\Iomega\Iomega Backup\dtiom98.exe O4 - Startup: ISDN Guard.lnk = C:\WINDOWS\GUARD.EXE O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: Yahoo! Messenger (HKLM) O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM) O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab O16 - DPF: {9A54032D-31F7-400D-B184-83B33BDE65FA} (MSN File Upload Control) - http://sc.groups.msn.com/controls/FileUC/MsnUpld.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/21cabb0f17737246e606/netzip/RdxIE601_de.cab besten dank bereits jetzt! ciao, tobi |
|
|
||
12.05.2004, 15:10
Ehrenmitglied
Beiträge: 29434 |
#7
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924
Die Wiederherstellung deaktivieren (nach der Reinigung wieder aktivieren) ----------------------------------------------------------------------------- Fixe mit dem HijackThis. O2 - BHO: (no name) - {00000000-0000-0000-0000-000000000001} - C:\WINDOWS\SYSTEM\MSXMLFILT.DLL O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\PROGRAMME\ISTBAR\ISTBAR.DLL (file missing) O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\PROGRAMME\MYWAY\MYBAR\2.BIN\MYBAR.DLL (file missing) O4 - HKLM\..\Run: [asustweakenable] C:\PROGRAMME\ASUS\TWEAKING UTILITIES\ATWEAK.EXE /start O4 - HKLM\..\Run: [anvshell] anvshell.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [graphdll] C:\WINDOWS\SYSTEM\graphdll.exe O4 - HKLM\..\Run: [mmsys] C:\WINDOWS\SYSTEM\MMGR.EXE O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - Startup: Iomega-Startoptionen.lnk = C:\Programme\Iomega\Tools\IMGSTART.EXE O4 - Startup: QuikSync.lnk = C:\Programme\Iomega\QuikSync\QUIKSYNC.EXE O4 - Startup: IomegaWare.lnk = C:\Programme\Iomega\Iomegaware\COMMANDER.EXE O4 - Startup: ISDN Guard.lnk = C:\WINDOWS\GUARD.EXE O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/21cabb0f17737246e606/netzip/RdxIE601_de.cab NEUSTARTEN #Onlinescann http://housecall.trendmicro.com/ #1)Lade folgende Programme, AKTUALISIEREN, SCANNEN http://lavasoft.element5.com/german/support/download/ http://beam.to/spybotsd http://www.spywareremove.com/ #mwav.exe laden, scannen und manuell loeschen, was er anzeigt http://www.mwti.net/antivirus/free_utilities.asp #Webwasher laden und den IE saeubern Danach die Startseite neu einstellen unter InternetOptionen http://www.zdnet.de/downloads/programs/a/f/de000PAF_is-wc.html #IE auf IE 6SP1 aktualisieren http://www.microsoft.com/windows/ie_intl/de/ie6sp1.asp #Start<Programme#WindowsUpdate machen Das Log nach der Reinigung noch einmal posten MfG Sabina http://securityresponse.symantec.com/avcenter/venc/data/backdoor.loxoscam.html __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 12.05.2004 um 15:25 Uhr von Sabina editiert.
|
|
|
||
19.05.2004, 10:03
...neu hier
Beiträge: 5 |
#8
hallo zusammen...
ich habe ebenso das Problem mit cadabra.biz als Startseite, doch diese Seite springt auch ins Browserfenster, wenn ich im IE, High-Traffic Seiten wie ebay.de aufrufe, so dass ich so ziemlich keine Möglichkeit habe, diese Seiten noch zu besuchen... Ich hoffe, ihr könnt mir helfen... Gruss - Volker _____________________________________________ Logfile of HijackThis v1.97.7 Scan saved at 09:58:51, on 19.05.04 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\STARTER.EXE C:\WINDOWS\LOADQM.EXE C:\WINDOWS\SYSTEM.EXE C:\PROGRAMME\ANTIVIR\AVGCTRL.EXE C:\PROGRAMME\COMMON FILES\UPDMGR\UPDMGR.EXE C:\WINDOWS\SYSTEM\P2P NETWORKING\P2P NETWORKING.EXE C:\PROGRAM FILES\ALTNET\POINTS MANAGER\POINTS MANAGER.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\CMEII\CMESYS.EXE C:\WINDOWS\SVCHOST.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\GMT\GMT.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAM FILES\ALTNET\DOWNLOAD MANAGER\ASM.EXE C:\PROGRAMME\ARCORDSL\ARCORDSL.EXE C:\PROGRAMME\ICQ\ICQ.EXE C:\WINDOWS\SVCHOSTS.EXE C:\WINDOWS\SVCHOSTC.EXE C:\WINDOWS\SYSTEM\WINOA386.MOD C:\WINDOWS\SYSTEM\WINOA386.MOD D:\SICHERUNG STAND MäRZ 04\VOLKER\SONSTIGES\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://my-find.com/sp.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://mshp.dll/sp.html#10213 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://mshp.dll/index.html#10213 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://mshp.dll/index.html#10213 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://mshp.dll/sp.html#10213 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://mshp.dll/index.html#10213 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://mshp.dll/sp.html#10213 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://my-find.com/sp.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Arcor R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://my-find.com/index.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R3 - URLSearchHook: PerfectNavBHO Class - {0428FFC7-1931-45b7-95CB-3CBB919777E1} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL O1 - Hosts: 1089288654 auto.search.msn.com O2 - BHO: (no name) - {00000000-0000-0000-0000-000000000001} - C:\WINDOWS\SYSTEM\MSXMLFILT.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O3 - Toolbar: AroundWeb - {0E1230F8-EA50-42A9-983C-D22ABC2EEB4C} - C:\PROGRAMME\AROUNDWEB\AWTOOLB.DLL O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\PROGRAMME\MYWAY\MYBAR\1.BIN\MYBAR.DLL O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe O4 - HKLM\..\Run: [LoadQM] loadqm.exe O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\NDetect.exe O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe O4 - HKLM\..\Run: [Image] rundll32 C:\WINDOWS\IMAGE.DLL,Install O4 - HKLM\..\Run: [Online Service] C:\WINDOWS\System.exe O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\ANTIVIR\AVGCTRL.EXE /min O4 - HKLM\..\Run: [updmgr] C:\Programme\Common files\updmgr\updmgr.exe O4 - HKLM\..\Run: [P2P NETWORKING] C:\WINDOWS\SYSTEM\P2P NETWORKING\P2P NETWORKING.EXE /AUTOSTART O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s O4 - HKLM\..\Run: [CMESys] "C:\PROGRAMME\GEMEINSAME DATEIEN\CMEII\CMESYS.EXE" O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKCU\..\Run: [svchost] C:\WINDOWS\SVCHOST.EXE O4 - HKCU\..\RunServices: [Image] rundll32 C:\WINDOWS\IMAGE.DLL,Install O4 - Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O8 - Extra context menu item: &AroundWeb Search - res://C:\PROGRAMME\AROUNDWEB\AWTOOLB.DLL/MENUSEARCH.HTM O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: ICQ (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O14 - IERESET.INF: START_PAGE_URL=http://www.arcor.de O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {11111111-1111-1111-1111-111111111111} - mhtml:file://C:NXSFT.MHT!http://66.117.38.54:80/iex/ofile.exe?url=http://66.117.38.54:80/dexDE639.exe O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Moniker32 Class) - http://63.219.181.7/cax.cab O16 - DPF: {10000000-1000-0000-1000-000000000000} - mhtml:file://C:\ARCHIVE.MHT!http://www.008k.com//f//10213/msits.exe O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab27571.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab27571.cab O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) - O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB O19 - User stylesheet: C:\WINDOWS\Web\tips.ini O19 - User stylesheet: C:\WINDOWS\hh.htt (HKLM) |
|
|
||
19.05.2004, 10:53
Member
Beiträge: 1095 |
#9
@Volkerracho
Willkommen an/im Board Führe mal das bitte durch und poste dann nochmal dein Logfile http://www.rokop-security.de/main/article.php?sid=703 Fixe das In HiJAckThis Alles mit R0 & R1 R3 - URLSearchHook: PerfectNavBHO Class - {0428FFC7-1931-45b7-95CB-3CBB919777E1} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL O1 - Hosts: 1089288654 auto.search.msn.com O2 - BHO: (no name) - {00000000-0000-0000-0000-000000000001} - C:\WINDOWS\SYSTEM\MSXMLFILT.DLL O3 - Toolbar: AroundWeb - {0E1230F8-EA50-42A9-983C-D22ABC2EEB4C} - C:\PROGRAMME\AROUNDWEB\AWTOOLB.DLL O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\PROGRAMME\MYWAY\MYBAR\1.BIN\MYBAR.DLL O4 - HKLM\..\Run: [Image] rundll32 C:\WINDOWS\IMAGE.DLL,Install O4 - HKLM\..\Run: [Online Service] C:\WINDOWS\System.exe O4 - HKLM\..\Run: [P2P NETWORKING] C:\WINDOWS\SYSTEM\P2P NETWORKING\P2P NETWORKING.EXE /AUTOSTART O4 - HKCU\..\Run: [svchost] C:\WINDOWS\SVCHOST.EXE O4 - HKCU\..\RunServices: [Image] rundll32 C:\WINDOWS\IMAGE.DLL,Install O16 - DPF: {11111111-1111-1111-1111-111111111111} - mhtml:file://C:NXSFT.MHT!http://66.117.38.54:80/iex/ofile.exe?url=http://66.117.38.54:80/dexDE639.exe O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Moniker32 Class) - http://63.219.181.7/cax.cab O16 - DPF: {10000000-1000-0000-1000-000000000000} - mhtml:file://C:\ARCHIVE.MHT!http://www.008k.com//f//10213/msits.exe O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) - CAB O19 - User stylesheet: C:\WINDOWS\Web\tips.ini O19 - User stylesheet: C:\WINDOWS\hh.htt (HKLM) Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 19.05.2004 um 11:15 Uhr von paff editiert.
|
|
|
||
19.05.2004, 11:48
...neu hier
Beiträge: 5 |
#10
erstmal besten Dank für die schnelle Antwort und Lob an die dicke Portion an Know How ;-)
Gut, ich hatte deinen Entry gelesen, bevor du die Zeilen gepostet hast, was unter Hijack zu fixen wäre, daher hier nochmal eben nach Nutzung von Ad-Aware, Spybot und dem Shredder die Logfile von HijackThis da jetzt dort einige Zeilen nicht mehr vorkommen, denke ich mal, dass sich dies mit dem Fixen bei denen dann eh erledigt hat und die anderen, von dir benannten, soll ich dann ganz normal unter Hijack fixen? in jedem Falle jetzt schonmal vielen Dank Gruss Volker ________________________________________________ Logfile of HijackThis v1.97.7 Scan saved at 11:45:09, on 19.05.04 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\STARTER.EXE C:\WINDOWS\LOADQM.EXE C:\WINDOWS\SYSTEM.EXE C:\PROGRAMME\ANTIVIR\AVGCTRL.EXE C:\WINDOWS\SYSTEM\P2P NETWORKING\P2P NETWORKING.EXE C:\PROGRAM FILES\ALTNET\POINTS MANAGER\POINTS MANAGER.EXE C:\PROGRAM FILES\ALTNET\DOWNLOAD MANAGER\ASM.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\ARCORDSL\ARCORDSL.EXE C:\WINDOWS\SVCHOSTS.EXE C:\WINDOWS\SVCHOSTC.EXE C:\WINDOWS\SYSTEM\WINOA386.MOD C:\WINDOWS\SYSTEM\WINOA386.MOD D:\SICHERUNG STAND MäRZ 04\VOLKER\SONSTIGES\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Arcor R3 - URLSearchHook: (no name) - {0428FFC7-1931-45b7-95CB-3CBB919777E1} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O3 - Toolbar: AroundWeb - {0E1230F8-EA50-42A9-983C-D22ABC2EEB4C} - C:\PROGRAMME\AROUNDWEB\AWTOOLB.DLL O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\PROGRAMME\MYWAY\MYBAR\1.BIN\MYBAR.DLL O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe O4 - HKLM\..\Run: [LoadQM] loadqm.exe O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\NDetect.exe O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\ANTIVIR\AVGCTRL.EXE /min O4 - HKLM\..\Run: [P2P NETWORKING] C:\WINDOWS\SYSTEM\P2P NETWORKING\P2P NETWORKING.EXE /AUTOSTART O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O8 - Extra context menu item: &AroundWeb Search - res://C:\PROGRAMME\AROUNDWEB\AWTOOLB.DLL/MENUSEARCH.HTM O9 - Extra button: ICQ (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O14 - IERESET.INF: START_PAGE_URL=http://www.arcor.de O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab27571.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab27571.cab O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) - O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB Dieser Beitrag wurde am 19.05.2004 um 12:02 Uhr von Volkerracho editiert.
|
|
|
||
19.05.2004, 12:08
Member
Beiträge: 1095 |
#11
Ok da haben die Progs schonmal gut aufgeräumt
Was mich noch stört ist das O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\PROGRAMME\MYWAY\MYBAR\1.BIN\MYBAR.DLL Schau mal hier http://sarc.com/avcenter/venc/data/adware.mybar.html Das ist ein ADWare Wenn Möglich über Systemsteuerung/Software deinstallieren (My Way Speed Bar) Wenn nicht, einfach den Eintrag fixen und Datei löschen - HKLM\..\Run: [P2P NETWORKING] C:\WINDOWS\SYSTEM\P2P NETWORKING\P2P NETWORKING.EXE /AUTOSTART O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s Das kommt meistens mit KaZaA. Man sollte Kazaa-lite benutzen Such mal bei chip.de nach Kazaa-lite Wenn du das Normale Kazaa behalten willst, einfach die beiden Einträge fixen. Das hier noch fixen R3 - URLSearchHook: (no name) - {0428FFC7-1931-45b7-95CB-3CBB919777E1} - (no file) O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) - Virenscanner updaten und ganz durchlaufen lassen Bitte neustart machen Bitte dann nochmal log posten Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 19.05.2004 um 12:23 Uhr von paff editiert.
|
|
|
||
19.05.2004, 14:18
...neu hier
Beiträge: 5 |
#12
So, da bin ich nochmal...
bin mal soweit auf deinen Tip eingegangen und werde mich dann gleich mal bei chip.de wg. Kazaa Lite umsehen. Habe die Standard Kazaa Version jetzt mal runtergehauen und in der Systemsteuerung/Software den 'My Search Bar' deinstalliert. Die weiteren aufgeführten Punkte waren dann im Übrigen nach der Deinstallation von Kazaa auch vom Tisch, soweit ich dies festgestellt habe... So, hier also nochmal nachfolgend das (hoffentlich bereinigte) Log Gruß und besten Dank - Volker ____________________________________________________________ Logfile of HijackThis v1.97.7 Scan saved at 14:17:21, on 19.05.04 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\STARTER.EXE C:\WINDOWS\LOADQM.EXE C:\WINDOWS\SYSTEM.EXE C:\PROGRAMME\ANTIVIR\AVGCTRL.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\ARCORDSL\ARCORDSL.EXE C:\WINDOWS\SVCHOSTS.EXE C:\WINDOWS\SVCHOSTC.EXE C:\WINDOWS\SYSTEM\WINOA386.MOD C:\WINDOWS\SYSTEM\WINOA386.MOD C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE D:\SICHERUNG STAND MäRZ 04\VOLKER\SONSTIGES\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Arcor O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O3 - Toolbar: AroundWeb - {0E1230F8-EA50-42A9-983C-D22ABC2EEB4C} - C:\PROGRAMME\AROUNDWEB\AWTOOLB.DLL O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe O4 - HKLM\..\Run: [LoadQM] loadqm.exe O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\NDetect.exe O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\ANTIVIR\AVGCTRL.EXE /min O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O8 - Extra context menu item: &AroundWeb Search - res://C:\PROGRAMME\AROUNDWEB\AWTOOLB.DLL/MENUSEARCH.HTM O9 - Extra button: ICQ (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O14 - IERESET.INF: START_PAGE_URL=http://www.arcor.de O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab27571.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab27571.cab O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB |
|
|
||
19.05.2004, 14:47
Member
Beiträge: 1095 |
#13
@volker
Hast du mal einen Neustart gemacht? Wichtig, dann kann man sehen ob sich einige wieder eingetragen haben Diese 2 Dateien hier sind sehr verdächtig C:\WINDOWS\SVCHOSTS.EXE C:\WINDOWS\SVCHOSTC.EXE Check die mal hier http://www.kaspersky.com/de/remoteviruschk.html Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
19.05.2004, 15:47
...neu hier
Beiträge: 5 |
#14
so, abschließend hat auch Kaspersky nix mehr an den beiden Dateien entdecken können...
Neustarts habe ich heute schon so einige hinter mir, allein durch diverse Install-Routinen, von daher kann ich deine Frage nach den Neustarts nur mit 'ja' beantworten und bedanke mich mit einem kurierten Rechner ;-) Gruss Volker |
|
|
||
19.05.2004, 15:55
Member
Beiträge: 1095 |
#15
@volkerracho
Wenn's dir nix ausmacht, kannst du mir bitte die beiden Dateien schicken. C:\WINDOWS\SVCHOSTS.EXE C:\WINDOWS\SVCHOSTC.EXE Einfach in ein zipfile und an mike_hangover@gozomail.com (Meine FakeEmail) Will mir die mal anschauen. Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
auch cwshredder hat nicht geholfen.
hoffe ihr könnt mit helfen
--------
Logfile of HijackThis v1.97.7
Scan saved at 14:50:20, on 27.04.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
H:\Pop-Up Stopper\dpps2.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\el\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1977.zip\HijackThis.exe
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.blazefind.com/search_page.php
R3 - Default URLSearchHook is missing
O1 - Hosts: 213.159.117.235 auto.search.msn.com
O2 - BHO: (no name) - {00000000-0000-0000-0000-000000000001} - C:\WINDOWS\System32\msxmlfilt.dll
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [win32.exe] C:\WINDOWS\win32.exe
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://host.cycore.net/plugins/windows/ie/Cult3D_IE_5.3.0.228.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38104.225625
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0D829E84-65E2-4CF7-88BA-E4C22964033F}: NameServer = 217.237.150.225 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{0D829E84-65E2-4CF7-88BA-E4C22964033F}: NameServer = 217.237.150.225 194.25.2.129